【正文】 墻：核心防火墻主要完成核心云平臺數(shù)據(jù)的安全，設置不同的安全策略最大限度保障核心云平臺的安全，并且采用萬兆防火墻，保障了業(yè)務的高速性，不由于設備原因影響整個網(wǎng)絡。 數(shù)據(jù)庫審計系統(tǒng)：主要完成當發(fā)生數(shù)據(jù)安全事故時，在不能夠通過其他手段追蹤到人等的時候，那么通過數(shù)據(jù)庫審計可以記錄用戶對數(shù)據(jù)庫所操作的事件，最終完成事件追溯。 運維審計系統(tǒng)具備強大的輸入輸出審計功能，不僅能夠詳細記錄用戶操作的每一條指令，而且能夠?qū)⑺械妮敵鲂畔⑷坑涗浵聛?，也具備圖形終端操作的審計功能，能夠?qū)Χ嗥脚_的多種圖形終端操作做審計，并且運維審計系統(tǒng)具備審計回放的功能，能夠模擬用戶在線操作過程。按照 2 倍冗余 ，規(guī)劃消 息總線提供給網(wǎng)絡設備的帶寬處理能力為（10++）*2= 萬次/min。在安全管理方面，要考慮政策、法規(guī)、制度、管理權限、級別劃分、安全域劃分、 責任認定、 安全培訓等， 制定切實有效的管理制度和運行維護機制； 建設支撐安全管理的技術支撐體系；在物理安全方面，要根據(jù)實際情況建立相應的安全防護機制；在網(wǎng)絡安全方面，要解決行政服務中心網(wǎng)絡系統(tǒng)與互聯(lián)網(wǎng)的邏輯隔離，各個委辦局之間邏輯隔離；針對每種不同的業(yè)務。 網(wǎng)絡入侵者一般采用預攻擊探測、竊聽等手段搜集信息， 然后利用 IP 欺騙、重放或重演、拒絕服務攻擊（SYN FLOOD，PING FLOOD 等）、分布式拒絕服務攻擊、篡改、堆棧溢出等手段進行攻擊。（3） 信息的訪問安全信息的存儲安全主要是指信息訪問的可控性，即只有被授權的、安全級別與數(shù)據(jù)機密性要求一致的用戶才被允許訪問相應的數(shù)據(jù)。政務中心使用 Web 應用，這社會提升日益多樣化服務需求，Web 應用的開放性與交互性越來越強，相關的安全問題也隨著日益攀升。該數(shù)字證書具有唯一性。電子政務的各方都必須擁有合法的身份，即由數(shù)字證書認證中心機構(CA)簽發(fā)的數(shù)字證書，在行政審批的各個環(huán)節(jié)，交易的各方都需檢驗對方數(shù)字證書的有效性，從而解決了用戶信任問題。它通過自身的注冊審核體系，檢查核實進行證書申請的用戶身份和各項相關信息，使參與行政審批的用戶屬性客觀真實性與證書的真實性一致。l 虛擬機的生命周期管理包括創(chuàng)建、刪除、啟動、停止、暫停、恢復、重啟、強制關閉等。大規(guī)?；A資源管理主要功能是：l 對基礎硬件資源進行管理；l 對基礎硬件的狀態(tài)和性能進行監(jiān)控；l 對異常情況觸發(fā)報警，提醒用戶維護問題設備；l 對基礎軟硬件資源進行長期的統(tǒng)計分析，為高層次的資源調(diào)度提供決策的依據(jù)。其中安全認證體系的建立是關鍵，它決定了行政審批能否安全進行，因此，數(shù)字證書認證中心機構的建立對行政審批的開展具有非常重要的意義。它主要負責產(chǎn)生、分配并管理所有參與電子政務的實體所需的身份認證數(shù)字證書。 安全保障體系構架設計框架安全體系框架是對電子政務系統(tǒng)提供保護的整體策略集合，包括：運行管理安全、 物理環(huán)境保障、數(shù)據(jù)安全、資源可信和網(wǎng)絡及系統(tǒng)安全五個層面的內(nèi)容，如下圖所示： CA 認證服務器為保證網(wǎng)上數(shù)字信息的傳輸安全，除了在通信傳輸中采用更強的加密算法等措施之外，必須建立一種信任及信任驗證機制，即參與通信的的各方必須有一個可以被驗證的標識，這就是數(shù)字證書。應用層安全的解決目前往往依賴于網(wǎng)絡層、 操作系統(tǒng)、 數(shù)據(jù)庫的安全。 造成的后果經(jīng)常是攻擊行為發(fā)生后好幾天仍沒有被發(fā)現(xiàn)， 造成重大損失。二、 網(wǎng)絡層安全威脅分析網(wǎng)絡層是網(wǎng)絡入侵者進攻信息系統(tǒng)的渠道和通路。因此，為滿足博羅行政服務中心信息化建設的全方位的安全性及安全等級保護的需求。隨著移動端的便捷，使用手機端的人數(shù)量線性增長， 預計 58 年的擴展， 按照每天 200 個用戶調(diào)用網(wǎng)絡設備數(shù)據(jù)來計算，每個用戶的訪問平均需要調(diào)動 50個小模塊，每個小模塊按照 100 條消息來計算，消息量為 200*50*100=100 萬次。運維審計系統(tǒng)扮演著看門者的工作，所有對網(wǎng)絡設備和服務器的請求都要從這扇大門經(jīng)過。其中由于此區(qū)域大量的數(shù)據(jù)操作，必須考慮數(shù)據(jù)庫審計系統(tǒng)，保證整個業(yè)務系統(tǒng)的安全性， 做到當發(fā)生某些不可預料數(shù)據(jù)問題時能夠做到有據(jù)可查， 因此在核心數(shù)據(jù)交換機上旁掛一臺數(shù)據(jù)庫審計系統(tǒng)。本方案中，采用虛擬云交換技術，將兩臺物理核心交換機虛擬為一臺邏輯上統(tǒng)一的設備，使其能夠?qū)崿F(xiàn)統(tǒng)一的運行，從而達到減小網(wǎng)絡規(guī)模， 同時極大提高網(wǎng)絡穩(wěn)定健壯性，控制故障恢復時間。 外接單位接入?yún)^(qū)域因為此次電子政務外網(wǎng)建設和電子政務數(shù)據(jù)中心建設， 不能夠一次性將整個局單位全部納入進來，且還要考慮單位人員對云平臺的訪問。 本期對于互聯(lián)網(wǎng)區(qū)域不做建設。這樣劃分區(qū)域保障了各個區(qū)域的安全性， 滿足公安部三級等保網(wǎng)絡合乎性要求。 設備選型依據(jù)根據(jù)行政服務中心信息化建設需求，在方案和設備選型上需遵循高性能、高可靠性、高安全性、高擴展能力、技術先進性、實用性、靈活性和可管理性等多方面因素相結(jié)合的原則。（4） 可靠性原則行政服務中心要求有高度的穩(wěn)定性、可靠性，網(wǎng)絡不穩(wěn)不但影響政務工作的順利進行，還會影響政府在社會公眾中的形象。l 《國家電子政務工程建設項目管理暫行辦法》 和 《中央預算內(nèi)投資補助和貼息項目管理暫行辦法》以及《國家電子政務工程建設規(guī)劃》等文件。4. 標準化系統(tǒng)設計應嚴格按照國際和國家標準設計。（2） 設備的可用率，即設備正常使用時間和總使用時間的比值應≥％。（2） 要求磁盤陣列數(shù)據(jù)存取的 I/O 帶寬足夠保證上層應用需求。（15） 提供安全的遠程監(jiān)控和管理模式；（16） 虛擬機故障能實現(xiàn)自動報警功能（郵件、openview、windows 的mom 接口）；（17） 能夠提供資源中 CPU、網(wǎng)絡、磁盤使用率等指標的實時數(shù)據(jù)統(tǒng)計，并能反映目前各虛擬服務器、虛擬機的資源瓶頸； 備份軟件選型原則（1） 異構平臺支持要求：l 備份系統(tǒng)應支持包括 Solaris、 Red Hat Linux、 SuSE Linux、 Red Flag Linux和 Windows 2000/2003/2008/2008R2 等多種操作系統(tǒng)；l 備份系統(tǒng)應支持 Sybase、Oracle、Informix、DBMicrosoft SQL Server、DOMINO 、Exchange Server 和 Microsoft SharePoint Portal Server AD,SAP，MySQL 等數(shù)據(jù)庫應用；l 備份系統(tǒng)應支持各主流磁帶庫、機械臂、虛擬帶庫等磁帶庫設備。 網(wǎng)絡備份示意圖 LANFree備份LANFree備份是在SAN環(huán)境中進行的，是指數(shù)據(jù)不經(jīng)過局域網(wǎng)直接進行備份，即用戶只需將磁帶機或磁帶庫等備份設備連接到SAN中，各服務器就可把需要備份的數(shù)據(jù)直接發(fā)送到共享的備份設備上，不必再經(jīng)過局域網(wǎng)鏈路。l 構建統(tǒng)一存儲池，實現(xiàn)數(shù)據(jù)對應用的透明；l 實現(xiàn)存儲池的統(tǒng)一管理和統(tǒng)一監(jiān)控； 服務器詳細參數(shù)根據(jù)行政服務中心信息化建設需求，在方案和設備選型上需遵循高性能、高可靠性、高安全性、高擴展能力、技術先進性、實用性、靈活性和可管理性等多方面因素相結(jié)合的原則。采用業(yè)內(nèi)主流的存儲虛擬化技術，對存儲設備進行虛擬化實施，以提高存儲設備利用率，優(yōu)化 IT 資源和性能。Hypervisor 是很小的一層，它可以攔截操作系統(tǒng)對硬件的調(diào)用。2. 能夠動態(tài)地將計算平臺定位到所需要的物理平臺上，而無需停止運行在虛擬機平臺上的應用程序，這比采用虛擬化技術之前的進程遷移方法更加靈活。所以內(nèi)網(wǎng)總存儲需要大于87T，要求配備兩個以上的空擴展柜，支持未來擴展。 每個VM需要100Mbps的帶寬。放置在每臺服務器上的代理會不斷向資源池中的其他服務器發(fā)送“心跳信號”， 而心跳信號的中止會導致所有受影響的業(yè)務應用在其他服務器上重新啟動。分布式存儲系統(tǒng)通過將數(shù)據(jù) IO分配給多個 IO 節(jié)點并行執(zhí)行，從而大大提升整體的數(shù)據(jù)吞吐容量。云計算的引入不能破壞現(xiàn)有的安全要求，因此資源池的組織也需要按照相應的規(guī)則進行。可以采用基于x86的八處理器或四處理器的服務器為該單一業(yè)務進行服務，保證業(yè)務的正常運行。并且在邊界上部署了安全設備，其中所建設網(wǎng)絡遵循梯級性擴展，滿足不由于設計造成性能瓶頸，其中考慮接入為百兆到接入交換機、千兆上行至匯聚交換機、匯聚交換機萬兆進入核心交換機、核心交換機之間進行萬兆交互。 l 專線接入?yún)^(qū)域：所有專線統(tǒng)一接入一臺多口路由防火墻。根據(jù)規(guī)劃，將新建的網(wǎng)絡規(guī)劃為7個區(qū)域，互聯(lián)網(wǎng)接入?yún)^(qū)域、DMZ 區(qū)域、外接單位接入?yún)^(qū)域、大樓匯聚交換區(qū)域、核心數(shù)據(jù)業(yè)務區(qū)及應用服務區(qū)域 （即云區(qū)數(shù)據(jù)交換及業(yè)務區(qū)）、辦公接入?yún)^(qū)域、安全運維區(qū)域。要區(qū)分不同存儲層系需求，高速存儲和低速存儲之間的層次需要合理分配。信息數(shù)據(jù)爆炸來自兩個方面， 一是每個用戶的數(shù)據(jù)量飛速增長，隨著信息化程度越來越高，個人用戶的數(shù)據(jù)量從原來幾百M飛快的上升到幾百G，企業(yè)用戶的數(shù)據(jù)量增長到幾百T，大的行業(yè)系統(tǒng)，政府部門等更是上升到海量的PB級。2. 應用支撐平臺：應用支撐平臺是通過虛擬機以及云平臺管理系統(tǒng)3. 應用層：4. 門戶： 基礎設施平臺架構基礎設施平臺通過虛擬化將服務器、 網(wǎng)絡、 存儲、 負載均衡、 安全及備份等設備形成一個虛擬的資源池，實現(xiàn)內(nèi)存、I/O 設備、存儲和計算能力的彈性化無限擴展，為云端用戶按需提供 IaaS 服務。電子政務云平臺的建設就是為了實現(xiàn)信息資源復用，避免各職能部門重復進行基礎設施的建設投入，解決政府部門間信息共享，實現(xiàn)業(yè)務部門之間的數(shù)據(jù)交換與數(shù)據(jù)共享，促進我縣電子政務的發(fā)展。必須通過建立信息資源共享交換平臺，制定統(tǒng)一的數(shù)據(jù)交換規(guī)范和標準，提供跨部門、跨格式、跨平臺的數(shù)據(jù)交換服務，為不同系統(tǒng)以及信息資源庫建設提供數(shù)據(jù)交換支撐，解決信息孤島問題，實現(xiàn)全縣信息資源共享與交換。而硬件和軟件故障、自然災難，甚至計劃維護所導致的停機時間，都可能影響到業(yè)務。同時，我縣電子政務系統(tǒng)的應用服務器，大部分已經(jīng)使用超過3年，設備廠商已經(jīng)不再提供技術支持，一旦故障，硬件都難以配到甚至停產(chǎn)。其中電信提供兩條光纖線路，冗余，分別為200M+100M+20M。充分利用現(xiàn)有安全基礎設施，采納最新的防病毒、反黑客技術手段，建立全網(wǎng)防御、整體作戰(zhàn)的綜合防治體系對全縣電子政務網(wǎng)絡進行全面保護。2009年9建設完成，形成由政府大院、縣城72個單位組成的內(nèi)網(wǎng)。2. 我縣“十一五”信息化建設主要實施了六大項目（1） 我縣電子政務應用系統(tǒng)項目?？h領導、縣直各單位各鎮(zhèn)設有賬號，通過電子政務系統(tǒng)平臺實現(xiàn)辦公自動化、公文交換，網(wǎng)絡問政等功能。資金投入105萬元，2008年8月2009年8月實施成為全縣各種信息資源交流、展示的集散中心，面向社會，服務公眾。縣政府中心機房外的單位包括電子監(jiān)察中心、國土局、公安等單位約有71臺服務器。鄉(xiāng)鎮(zhèn)城域網(wǎng)VPN 專線：光纖連接到電信機房，總帶寬是100M。隨著IT 架構的逐漸龐大，將會出現(xiàn)越來越多的問題和挑戰(zhàn)，面對存在的或者即將出現(xiàn)的問題，應該及早地調(diào)整和優(yōu)化IT 基礎架構，使之提供更好更優(yōu)質(zhì)的服務，從而提高工作效率和解放生產(chǎn)力。這導致系統(tǒng)會被緊密捆綁在硬件上，無法很好地適應變動。（2） 辦事困難、辦事麻煩的問題仍然突出，民眾辦事要跑多個地方、跑多次，重復提交資料，重復填寫表單，由于信息在政府部門之間不共享，政府部門無法為民眾提供個性化的、主動的綜合服務，民眾、企業(yè)在辦事時需要跑多個部門，重復填寫和提交各種表單和資料，極為不便。將整個社會服務中心大樓打造成一個易于管理、科技高效、便民實用的政務服務中心。云計算可以實現(xiàn)服務計算、變粒度計算、軟計算、不確定性計算、人參與的計算中提到的任務實現(xiàn)城市云智慧計算能力。另一個因素是用戶數(shù)量也在快速擴張，信息化建設本身就是要求普及到更多的用戶，越來越多傳統(tǒng)的行業(yè)、組織加入信息化的隊伍，也將產(chǎn)生大量的信息數(shù)據(jù)，進一步加劇了數(shù)據(jù)膨脹爆炸的速度。大量的公文傳輸、 視頻會議傳輸、 即時消息傳輸、 Email傳輸?shù)榷嘣W(wǎng)絡信息傳輸日益增加，網(wǎng)絡帶寬需求是顯而易見的。內(nèi)外網(wǎng)將各自部署數(shù)據(jù)庫。l 辦公接入?yún)^(qū)域：主要滿足大樓辦公人員的接入。云計算資源的管理模式是采用池化的辦法，把服務器、存儲、網(wǎng)絡等資源按照不同的標準組織成不同的資源池。性能差異：高端和低端服務器在性能上存在較大差異，如果劃入統(tǒng)一資源池，會導致上面的應用體驗到不同的性能指標。采用16Gb FC 主機接口、萬兆 iSCSI 以太網(wǎng)端口，支持 PB 海量存儲空間擴展。同時在內(nèi)外網(wǎng)各部署一套存儲，加強安全防范。即使當一臺服務器出現(xiàn)故障的時候，其他兩臺服務器仍然能夠根據(jù)資源利用的情況，通過高可用方案管理節(jié)點重啟已宕服務器上的所有業(yè)務應用環(huán)境，這樣就使整個系統(tǒng)都處于一種HA狀態(tài)，進而保證了整個系統(tǒng)業(yè)務運行的連續(xù)性?？紤]到網(wǎng)口的冗余，配置 6 個千兆網(wǎng)卡。105T 的數(shù)據(jù)量壓縮比大約為 40%，數(shù)據(jù)量微 42T。由于虛擬機包含了整個虛擬化的操作系統(tǒng)以及應用程序環(huán)境，因此在進行遷移的時候帶著整個運行環(huán)境，達到了與應用無關的目的。利用虛擬基礎架構，可以在整個基礎架構范圍內(nèi)共享多臺計算機的物理資源。 l 利用率——類似于服務端虛擬化，在超負荷或低效率的時候可以平衡存儲設備的利用率。 本機備份示意圖優(yōu)點是數(shù)據(jù)傳輸速度快，備份管理簡單；缺點是不利于備份系統(tǒng)的共享，不適合于現(xiàn)在大型的數(shù)據(jù)備份要求。因此，LANFree備份具有備份速度快、網(wǎng)絡傳輸壓力小的優(yōu)點，而且具有LAN備份所擁有的數(shù)據(jù)備份統(tǒng)一管理和磁帶庫資源共享的優(yōu)點，LANFree備份的缺點是成本高。（3） 磁盤管理技術要求l 備份系統(tǒng)應能夠管理虛擬帶庫自身的軟件，并將虛擬帶庫的數(shù)據(jù)復制到磁帶庫中，同時備份系統(tǒng)應能夠支持直接從帶庫上恢復數(shù)據(jù)。（5） 如使用特別接頭、插座等，需配套提供。（4） 操作系統(tǒng)必須支持 32 位和 64 位軟件；（5） 要求系統(tǒng)穩(wěn)定、可靠，保證有良好的可擴充性，支持未來幾年業(yè)務增長的需求；（6） 支持應用系統(tǒng)的 C/S，B/S 等結(jié)構訪問；（7） 具有良好的擴展性，當前配置和滿配須采用相同型號的配件； 網(wǎng)絡及安全體系 建設原則我縣電子政務核心網(wǎng)絡系統(tǒng)承載了我縣政務網(wǎng)絡所有業(yè)務系統(tǒng)，是電子政務應用重要的硬件基礎